| Рубрикатор |  |
 |
Реклама
| Блоги |  |
Алексей ЛУКАЦКИЙ | |
|
Чего ждать от ФСТЭК, как регулятора в области безопасности КИИ?
| 31 августа 2017 |
|
28 августа Аркадий Дворкович подписал план-график подготовки нормативных
правовых актов Президента Российской Федерации, Правительства
Российской Федерации и федеральных органов исполнительной власти,
необходимых для реализации норм Федерального закона от 26 июля 2017 г.
№ 187-ФЗ «О безопасности критической информационной инфраструктуры
Российской Федерации» и Федерального закона от 26 июля 2017 г. № 193-ФЗ
«О внесении изменений в отдельные законодательные акты Российской
Федерации в связи с принятием Федерального закона «О безопасности
критической информационной инфраструктуры Российской Федерации»,
утвержденным Заместителем Председателя Правительства Российской
Федерации (№ 5985п-П10). А спустя всего пару дней был опубликован
проект первого из пакета документов, который определяет регулятора в
области безопасности КИИ, которым предсказуемо стала ФСТЭК.
Часть коллег в Фейсбуке высказала предположение, что это еще не
финальное решение и возможно текст будет изменен. Возможно. Но я
все-таки предполагаю, что это уже финальное решение и тому есть
несколько причин. Во-первых, если бы регулятором могла стать ФСБ, то это
было бы проще сделать еще на этапе подготовки законопроекта - автором
же его являлась именно ФСБ. Если они тогда этого не сделали, то,
возможно, они просто не хотят быть таким регулятором (им и темы ГосСОПКИ
достаточно). Версия, что это может быть Минкомсвязь (все-таки мы
говорим не обо всех критических инфраструктурах, а только об
информационных) также существует, но в этом ведомстве просто некому
заниматься этой темой и опыта у них нет. Остается только ФСТЭК, которая и
безопасностью занимается, и к информационным системам имеет прямое
отношение, и ключевыми системами информационной инфраструктуры (КСИИ)
занималась. То есть сходятся все ключевые факторы, которые могли бы
определить регулятора. Да и проект Указа Президента готовила именно
ФСТЭК.
До 13-го сентября будет идти процедура общественного обсуждения, за
которой последует ряд дополнительных процедур, включая согласование
между ФОИВами, а затем принятие нормативно-правового акта. Произойти это
должно до конца октября (вдвое оперативнее, чем это предполагалось
изначально). С этого момента начнется активная работа по разработке
подзаконных актов в области контроля и надзора, обеспечения безопасности
значимых объектов КИИ, а также регламентация процесса ведения реестра
значимых объектов КИИ.
Самым интересным в этой тройке является разработка требований по защите.
Если исходить из версии, что регулятором будет ФСТЭК, то на мой взгляд
развитие событий пойдет следующим путем:
- Приказ №31 от 2014-го года (и, возможно, от 2017-го года тоже) получит долгожданную легитимизацию и будет официально распространяться на АСУ ТП. При этом, возможно, в него внесут изменения для распространения его положений на все 13 отраслей, упомянутых в ФЗ о БКИИ, а не только на те, которые описаны в 31-м приказе.
- Появится еще один приказ, ориентированный на отрасли, в которых нет АСУ ТП, - наука, финансовые организации, здравоохранение и т.п. Вновь предположу, что этот приказ не станет чем-то новым для специалистов и будет похож на 21-й приказ ФСТЭК. По крайней мере все последние документы ФСТЭК с перечислением мер защиты похожи друг на друга как браться-близнецы. Поэтому и новый приказ будет наследовать уже ставшие привычными за последние 4 года требования по защите информации.
Учитывая, что список требований по защите уже отработан в 17/21/31-м
приказах, то врядли процесс выпуска нового приказа сильно затянется.
Я вообще бы разработал уже унифицированный набор защитных мер и утвердил
его приказом, просто ссылаясь на него по мере необходимости (по
аналогии с ГОСТом ЦБ и ссылками на него из положений Банка России). Ведт
ФСТЭК еще предстоит готовить документ по станкам с ЧПУ, а потом, может
быть, еще что-то потребуется. Поэтому проще было иметь один единственный
набор, к которму можно было бы обращаться по мере необходимости и не
писать новые требования.
Немного особняком стоят:
- Перечень сведений, отнесенных к государственной тайне, утвержденный Указом Президента Российской Федерации от 30 ноября 1995 г. № 1203
- постановление Правительства Российской Федерации, содержащее сведения, составляющие государственную тайну,
в которые должны быть внесены изменения, так как согласно принятому
законодательству сведения о мерах защиты объектов КИИ относятся к
государственной тайне. Но и с ними ФСТЭК не должна затягивать.
Что в итоге? В начале 2018-го года мы должны иметь необходимые
нормативно-правовые акты, вызывающие наибольшее количество вопросов
(наряду с постановлением Правительства с показателями значений
категорирования объектов КИИ). Осталось ждать не так уж и много...
ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.
ЗЫ. Да, совсем забыл упомянуть, что с 1-го января 2018-го года вступает в силу уголовная ответственность за несоблюдение защитных мер. И хотя у нас пока нет Постановления Правительства с порядком такого надзора (его тоже должна писать ФСТЭК, как будущий регулятор в этой области), существует прокуратура, которой никакой порядок не нужен - она может прийти в любой момент после 1-го января. Утрирую немного, но формально это так.
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.